ISO/IEC27701隐私信息管理体系主要的内容
发布日期: 2022/07/22
隐私保护的重要性被不断强调,ISO/IEC27701标准也随之出台威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。
ISO/IEC27701隐私信息管理体系主要的内容分为8个章节:
第一至第三章:
主要是适用范围、参考标准和名词定义的说明,ISO/IEC27701隐私信息管理体系适用于任何类型的组织,包括政府、事业单位、金融、教育机构、企业及非营利组织。
第四章:
标准整体说明,包括PIMS的要求如何应对ISO/IEC27001的4~10章管理体系,以及PIMS增项的指引如何应对ISO/IEC27002的5~18章的控制措施。
第五章和第六章:
进一步引述在第四章提到的PIMS对应ISO/IEC27001管理体系要求和ISO/IEC27002控制措施实施指引。
第七章和第八章:
分别从PII控制者和PII处理者的角度,说明包括搜集和处理个人信息的情况和条件、应遵循的个人信息保护原则、设计以及预设的隐私规定,以及个人信息的分享、传输和揭露的增项要求。
无论组织的规模大小,是PII的控制者还是处理者,企业都应考虑为自己的组织或向供应商要求获得ISO27701认证。对于处理敏感或大量P1I的处理器,子处理器和联合控制器尤其如此。
